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Exemplaire invariable W - 1 - W: 

rmplare immutabi&e 
METHODE POUR LE CONTROLE D'APPARIEMENT MULTIPLE 
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La presente demande concerne le domaine de I'appariement entre un 
module de securite et un module hdte, notamment afin de securiser les 
communications entre ces deux modules. 

5 L'appariement est un mecanisme connu qui consiste a partager un 
secret unique a deux dispositifs rendant la communication ente ces 
deux dispositifs inaccessible pour tout autre dispositif. 

Cet appariement est decrit dans la demande EP1 078524 et permet de 
lier un module de securite a un recepteur grace a la presence d'une cle 
10 de chiffrement unique connue de ces deux seuls elements. 

Dans un environnement autorisant la connexion d'un module de 
securite sur plusieurs appareils notes, un tel appariement n'est pas 
possible car trop limitatif. 

Le document WO02/052515 decrit une solution mettant en oeuvre le 
15 controle de I'appariement par un centre de gestion. Le module de 
securite peut etre apparie a n'importe quel appareil pour autant que le 
centre de gestion I'y autorise. Une telle solution suppose I'existence 
d'un canal permettant au centre de gestion d'adresser un ou plusieurs 
messages au module de securite. 

20 Le but de la presente invention est done d'apparier un module de 
securite avec un ou plusieurs appareils hotes dans un environnement 
dans lequel soit I'appel a un centre de gestion n'est pas possible lors de 
I'appariement, soit aucun canal n'existe entre le centre de gestion et le 
module de securite. 
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Ce but est atteint par une methode de controle d'appariement entre un 
premier dispositif tel qu'un module de securite amovible et un second 
dispositif tel qu'un appareil h6te, cet appariement consistant a securiser 




I'echange des donnees a Paide d'une cle d'appariement unique, cette 
melhode consistant a : 

- verifier I'appariement entre les deux dispositifs et utiliser la cle 
d'appariement unique si I'appariement est deja effectue, dans la 

5 negative, 

- rechercher un emplacement vide parmi les emplacements reserves 
aux donnees d'appariement dans le premier dispositif et dans 
I'affirmative, 

- initier une procedure d'appariement en transmettant un cryptogramme 
10 contenu dans le second dispositif, et contenant un identifiant propre a. 

ce dispositif, ce cryptogramme etant encrypte par une cle secrete 
commune a tous les premiers dispositifs, 

- decrypter par le premier dispositif ce cryptogramme et en extraire 
I'identifiant du second dispositif, 

15 - generer une cle d'appariement basee sur cet identifiant, 

- memoriser dans le premier dispositif les donnees de I'appariement 
avec le second dispositif. 

Deux caracteristiques importantes sont contenues dans cette methode. 
La premiere est la possibility de memoriser dans le module de securite 
20 (premier dispositif) plusieurs donnees d'appariement. Le nombre 
maximum sera volontairement limite pour empecher qu'un meme 
module puisse s'apparier avec un nombre illimite d'appareils hotes. 

La deuxieme caracteristique est la maniere de creer la cle 
d'appariement. A I'origine, rien ne destine un module de securite 
25 particulier a s'apparier avec un appareil note particulier. C'est pourquoi, 
selon une premiere variante, un identifiant unique de I'appareil hote 
(second dispositif) est encrypte par une cle qui est contenue dans 




chaque module de securite. Cet identifiant peut etre le nurrtero de s6rie 
de I'appareil hote ou une cle de chiffrement ou un numero gener6 
aleatoirement lors de la personnalisation de chaque appareil h6te ou 
encore un melange de ces elements. 

5 Selon un mode de realisation, le cryptogramme contient une cle secrete 
qui peut etre de type symetrique ou asymetrique. Une fois dechiffn§ par 
le module de securite, ce dernier genere une cle aleatoire qui sera la cle 
d'appariement et I'encrypte avec la cl6 secrete puis I'envoie a I'appareil 
h6te. Le numero de serie unique de I'appareil hote sera de preference 

10 contenu dans les premiers messages echanges entre les deux 
elements pour effectuer la verification de I'appariement. 

Selon une deuxieme variante, la cle d'appariement est deja contenue 
dans le cryptogramme transmis par le deuxieme dispositif. Dans un tel 
cas, la cle d'appariement est une cle unique, propre a I'appareil hote et 
15 ne depend en rien du module de securite 

(.'invention recouvre egalement un mode dans lequel le cryptogramme 
est contenu dans le module de securite. C'est ce dernier qui va 
transmettre le cryptogramme a I'appareil hote pour la generation de la 
cl6 d'appariement. On considere que la cl§ de dechiffrement commune 
20 stockee dans ce cas dans I'appareil hote est stockee dans un element 
de securite, tel qu'une memoire securisee. 

Si un nouvel appariement est effectue, les donnees d'appariement 
seront enregistrees et occuperont un des emplacements prevus pour 
les difterents appariements que peut accepter un module de securite. 
25 Les donnees d'appariement sont par exemple le numero de setie de 
I'appareil h6te accompagn6 de la cle d'appariement. 

Du fait que le nombre d'emplacements est limite, il est probable que le 
module de securite soit connecte avec un nouvel appareil h6te alors 




que tous les emplacements sont utilises. Pour determiner 
('emplacement a remplacer, il existe plusieurs mecanismes a savoir: 

- un compteur d'activite associe a chaque emplacement. A chaque 
negotiation d'appariement entre le module de securite et I'appareil h6te, 
5 ce compteur est incremented Ainsi, le plus petit compteur determine 
I'emplacement le moins utilise. C'est cet emplacement qui sera 
remplace par le nouvel appariement. Par negociation d'appariement, on 
entend en general la mise sous tension du module note et la requete 
d'information de la part du module de securite. 

10 - un compteur de chronologie d'appariement associe a chaque 
emplacement. A chaque negociation d'appariement, le compteur 
correspondant prend la valeur du plus haut de tous les compteurs plus 
un, sauf si ce compteur est deja le plus haut, auquel cas il n'est pas 
modifie. Ainsi, le compteur ayant la plus petite valeur indique 

15 I'emplacement de Pappariement le plus ancien. C'est cet emplacement 
qui sera remplace par le nouvel appariement. 

Dans une forme de realisation, tout nouvel appariement ou tout 
changement d'appariement (ceci survenant lorsqu'il n'y a plus 
d'emplacement libre) est sujet a I'introduction d'un code secret (PIN 

20 code). A la premiere insertion du module de securite dans I'appareil 
hote, le module de securite initie une sequence aupres de I'appareil 
hote qui selon ses moyens d'affichage, demande a I'utilisateur 
I'introduction de ce code secret. Ce n'est que si ce code est 
correctement fourni par I'utilisateur, puis transfere vers le module de 

25 securite, que ce dernier acceptera ce nouvel appariement. 

Selon les variantes choisies, il est possible d'exiger ce code secret pour 
chaque nouvel appariement sans relation avec I'occupation des 
emplacements de la memoire. Dans une autre variante, il est possible 
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de faire intervenir le code secret lorsqu'il est question de remplacer un 
emplacement deja occupe. 

Plusieurs variantes sont prevues pour determiner la validite de ce code 
secret. Dans une premiere variante simplifiee, le code secret est 
5 constant pour un module de securite et est distribu6 avec ledit module. 

Dans une deuxieme variante, I'utilisateur appelle ou se connecte a un 
centre de gestion et lui transmet le numero unique du module de 
securite et de I'appareil h6te. Ce centre calcule un code secret selon un 
algorithme prenant en compte les deux variables que sont les deux 
10 numeros uniques. Cet algorithme est egalement contenu dans le 
module de securite pour verifier la conformite du code secret. L'appel 
au centre de gestion peut s'effectuer prealablement a I'appariement afin 
de disposer du code necessaire lorsqu'il sera requis au moment de la 
connexion du module avec I'appareil hote. 

15 Selon une troisieme variante, I'algorithme utilise pour le calcul du code 
est bas6 sur le numero unique du module de securite et d'un indice 
incremental. Ce code est ensuite combine avec le numero unique de 
I'appareil hdte afin d'obtenir le code secret qui est ensuite transmis a 
I'utilisateur pour autoriser son nouvel appariement. 

20 Le code peut etre determine selon la formule : CS = G(K , (F N ( UA))) = 
G(K , F((F N1 ( UA)))), ou CS est le code secret, UA le numero unique du 
module de securite, N I'indice incremental, K le numero unique de 
I'appareil hote, F une fonction de chiffrement et G une fonction qui fait 
intervenir K dans le calcul du CS. 

25 De cette maniere, le code secret change inevitablement a chaque 
appariement. Soit le resultat de la fonction F N1 (UA), soit la valeur de 
I'indice N est stocke en memoire du module pour etre utilisee comme 
depart lors du prochain appariement. Pour que le centre puisse calculer 




le bon code secret, il est necessaire que le centre soit synchronise avec 
le module de securite. Pour ce faire, I'utilisateur, lors de la requete, 
peut, par exemple, communiquer au centre la valeur de I'lndice N ou le 
resultat de la fonction F N1 (UA), prealablement transmls par le module 
5 de securite. Bien entendu, I'utilisateur doit aussi transmettre le numero 
unique du module de securite et de I'appareil hote au centre de gestion. 

Neanmoins, si la valeur de I'indice N dans le module de securite n'est 
pas accessible au centre de gestion, ce dernier peut transmettre un 
code secret qui ne corresponde pas necessairement au dernier indice 
10 du module de securite. Suite k cet eventuel decalage entre I'indice 
stocke dans le module de securite et I'indice stocke au centre de 
gestion, un code secret correctement calcule au centre de gestion peut 
etre rejete par le module de securite. 

Dans ce cas, il est possible de resynchroniser le module de securite. Si 
15 par exemple, le centre de gestion a foumi un code secret a partir du 
numero de I'appareil hote de I'utilisateur et du cryptogramme d'indice 
incremental 12, soit celui qui est dans le centre de gestion, et si le 
cryptogramme memorise dans le module de securite est d'indice 8, 
alors le module va calculer les codes secrets correspondants aux 
20 indices 8, 9, 10, 11, 12 pour constater que le cryptogramme provenant 
du code introduit manuellement correspond a un cryptogramme valide 
d'indice plus elev6. Cette constatation signifie que le centre de gestion a 
auparavant delivre quatre codes secrets que I'utilisateur du module de 
securite n'a finalement pas utilise. 

25 II est certain que la difference d'indice entre I'indice courant (8 dans 
notre exemple) et I'indice du centre de gestion (12 dans notre exemple) 
sera limitee a un nombre acceptable. II n'est pas question de balayer 
les milliers de possibilites dans I'espoir de trouver le bon code secret. 




A noter que cette troisieme variante inclut la possibility de ne pas faire 
intervenir le numero unique de I'appareil note dans le calcul du code 
secret, en definissant CS = (F N ( UA)) qui correspond au cas oil la 
fonction G precedemment citee est definie par G(x,y) = y. Cette variante 
5 est interessante si Ton souhaite separer le code secret du numero de 
I'appareil note. En effet, s'il est aise de connaTtre le numero du module 
de securite, par definition, un module aisement transportable, il est plus 
difficile de connaTtre le numero unique de I'appareil note, en particulier 
si I'on doit obtenir le code secret avant de connecter les deux elements. 

10 L'invention sera mieux comprise grace a la description detaillee qui va 
suivre et qui se refere a la figure unique qui est donnee a titre 
d'exemple nullement limitatif, et qui illustre les deux elements principaux 
et les donnees qu'ils contiennent. 

Le module de securite MS comprend une base de donnees DB 
15 securisee dans laquelle se trouve entre autre les donnees 
d'appariement. Ces donnees referencees PDT1 a PDTn occupent les 
places memoires 1 a n. Noter que le nombre n d'emplacements prevus 
dans le module MS peut etre egal a 1 . 

Cette base DB va egalement contenir la cle k commune a tous les 
20 modules de securite MS et permettant de decrypter le cryptogramme 
CY ainsi que I'indice N du nombre d'appariements precedemment 
executes. 

Ce dernier est contenu initialement dans le module note MH dans une 
memoire M qui peut etre soit securisee, soit de type librement 
25 accessible. II est tout de meme preferable que cette memoire soit 
protegee et difficilement accessible afin d'eviter qu'un appareil hote ne 
se fasse passer pour un autre. 




Ce cryptogramme CY est encrypte par la cle k et contient, dans une 
forme de realisation, le numero de serie SN et une marque PT de valeur 
connue du module de securite. Cette marque PT permet au module de 
securite de s'assurer que le cryptogramme est valide. Cette marque PT 

5 est commune a tous les cryptogrammes. Selon une autre variante, elle 
peut etre propre a I'appareil note. Le cryptogramme CY peut aussi 
contenir la cle d'appariement MHKey propre a I'appareil note, qui sera 
ensuite utilisee pour securiser la transmission d'informations entre le 
module MS et I'appareil h6te. Par exemple, une fois cette cle connue 

10 des deux modules, une cle de session KS peut etre negociee et utilisee 
pour encrypter la communication. Bien entendu, dans un tel cas, la cle 
MHKey doit aussi etre stockee dans la memoire M de I'appareil note et 
cette memoire doit done etre securisee. 

Dans la base de donnees DB du module de securite MS, les donnees 
15 PDT1 a PDTn comprennent un compteur d'activite ou de chronologie tel 
que decrit plus haut. Rappelons que ces compteurs permettent de 
determiner ('emplacement a remplacer au cas ou tous les 
emplacements sont utilises. Dans le cas ou des compteurs d'activite 
sont utilises, prenons Pexemple de trois emplacements, soit PDT1 a 
20 PDT3 respectivement occupes par des appariements effectues par des 
modules hdtes MHA, MHB et MHC. A chaque negotiation d'un 
appariement entre le module de securite MS et le module MHC par 
exemple, le compteur CPT3 sera increments. 

Dans les formes d'execution utilisant une cle de session KS generee a 
25 partir de la cle d'appariement KA, il est a noter que cet appariement 
peut evoluer dynamiquement e'est a dire que la cle de session KS est 
necessairement changee apres un certain temps d'utilisation; sur la 
base des Elements transmis lors de I'appariement entre ces deux 
entites (cle d'appariement, cle du module h6te MHKey), une nouvelle 
30 cle de session est generee. On peut des lors compter le nombre de cles 



de session deja gSnerees et considerer ce nombre comme compteur 
d'activite. 

Lorsqu'une nouvelle demande d'appariement est requise au module de 
s6curite, ii va determiner le compteur d'activite le plus petit et liberer cet 
emplacement. Bien entendu, le module de securite contient aussi toute 
Pinformation necessaire au calcul et a la verification des codes secrets. 
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REVEND1CATIONS 

1 . Methode de controle d'appariement entre un premier dispositif tel 
qu'un module de securite amovible (MS) et un second dispositif tel 
qu'un appareil hote (MH), cet appariement consistant a secu riser 
I'echange des donnees a i'aide d'une cle d'appariement unique (KA), 
cette methode consistant a : 

- verifier I'appariement entre les deux dispositifs et utiliser la cle 
d'appariement unique (KA) si I'appariement est deja effectue, dans la 
negative, 

- rechercher un emplacement (PDT) vide parmi les emplacements 
reserves aux donnees d'appariement dans le premier dispositif (MS) et 
dans I'affirmative, 

- initier une procedure d'appariement en transmettant un cryptogramme 
(CY) contenu dans le second dispositif (MH), et contenant un identifiant 
(SN) propre a ce dispositif, ce cryptogramme etant encrypte par une cle 
secrete commune (k) a tous les premiers dispositifs, 

- decrypter par le premier dispositif ce cryptogramme (CY) et en extraire 
I'identifiant (SN) du second dispositif, 

- generer une cl6 d'appariement (KA) basee sur cet identifiant, 

- memoriser dans le premier dispositif (MS) les donnees de 
I'appariement avec le second dispositif. 

2. Methode selon la revendication 1 , caracterisee en ce que la cle 
d'appariement (KA) est basee sur I'identifiant (SN) du second dispositif 
et les donnees propres au premier dispositif (MS). 

3. Methode selon les revendications 1 ou 2, caracterisee en ce que 
le cryptogramme (CY) est stocke dans le premier dispositif (MS) et 
encrypte avec une cle secrete commune aux seconds dispositifs (MH). 




4. Methode selon les revendications 1 a 3, caracterisee en ce que 
chaque emplacement (PDT) comprend un compteur d'activite (CPT) 
mis a jour a chaque verification positive de I'appariement base sur cet 
emplacement, la recherche de I'emplacement a remplacer 6tant 
d^terminee sur la valeur du compteur d'activite (CPT). 

5. Methode selon les revendications 1 a 4, caracterisee en ce que 
I'appariement est conditionne a I'introduction d'un code secret (PIN) 
transmis au premier dispositif et venfte par ledit premier dispositif. 

6. Methode selon la revendication 5, caracterisee en ce que le code 
secret est propre et unique a chaque premier dispositif (MS). 

7. Methode selon la revendication 5, caracterisee en ce que le code 
secret requis est different a chaque appariement. 

8. Methode selon la revendication 5, caracterisee en ce qu'elle 
consiste a : 

- transmettre un identifiant unique du premier dispositif et un identifiant 
unique du second dispositif a un centre de gestion, 

- verifier la conformite de cet appariement et calculer par le centre de 
gestion le code secret (PIN) correspondant sur la base des deux 
identifiants, 

- transmettre a I'utilisateur ce code secret, 

- initier I'appariement et requerir I'introduction du code secret (PIN), par 
le premier dispositif, 

- calculer par le premier dispositif le code secret attendu sur la base des 
identifiants du premier et second dispositif, 

- comparer le code calcule avec celui introduit par I'utilisateur, 

- accepter I'appariement si les deux codes sont identiques. 



9. Methode selon la revendication 8, caracterisee en ce qu'elle 
consiste a determiner le nouveau code secret sur la base des deux 
Identifiants et d'un indlce (N) representant le nombre d'appariement 
anterieurement execute, le premier dispositif conservant en memoire 
cet indice (N). 
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ABREGE 

Le but de la presente invention est d'apparier un module de securite 
avec un ou plusieurs appareils notes dans un environnement dans 
lequel le module note ne dispose pas de liaison avec un centre de 
5 gestion. 

Ce but est atteint par une mSthode de contr6le d'appariement entre un 
premier dispositif tel qu'un module de securite amovible et un second 
dispositif tel qu'un appareil note, cet appariement consistant a securiser 
I'echange des donnees a I'aide d'une cl§ d'appariement unique, cette 
10 m6thode consistant a : 

- verifier I'appariement entre les deux dispositifs et utiliser la cle 
d'appariement unique si I'appariement est d6ja effectue\ dans la 
negative, 

- rechercher un emplacement vide parmi les emplacements reserves 
15 aux donnees d'appariement dans le premier dispositif et dans 

I'affirmative, 

- initier une procedure d'appariement en transmettant un cryptogramme 
contenu dans le second dispositif, et contenant un identifiant propre a 
ce dispositif, ce cryptogramme etant encrypts par une cl§ secrete 

20 commune a tous les premiers dispositifs, 

- decrypter par le premier dispositif ce cryptogramme et en extraire 
l'identifiant du second dispositif, 

- gSnerer une cle d'appariement basee sur cet identifiant, 

- memoriser dans le premier dispositif les donnees de I'appariement 
25 avec le second dispositif. 
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